密码的安全性--上面写着单词？

Question

描述

PayPal建议，通过拼写单词(在数字垫上，例如[ABC] = 2)生成PIN是一种很好的安全和记忆方法，例如B-L-U-E-C-O-W = 2583269。

我的密码安全知识是有限的，我还没有找到任何有关这方面的信息。虽然这些PIN并不是完全随机的，但在我看来，它们应该是相当安全的†(取决于语言)，至少对于PIN通常保护的内容(只有4-8个数字)和其他有限的尝试都是如此。

†--我刚刚意识到0和1不是映射到字母上的，所以它们可能必须随机地分布在一起。

问题

1. 有什么可以直接说的关于PINs的安全，拼字吗？
2. 是否对这类PIN进行过任何研究或攻击？

Answer 1

您正在寻找的概念是“熵”和密码的选择过程。

对于PINs，人们倾向于使用著名的数字或模式(1111、1066 (在英国非常常见)、1337 (受玩家男性欢迎)等)。它们的熵很低，很容易猜测。它们相当于password1。如果你把选择过程留给人类，他们会默认一些很容易记住的东西，也可能是很多人都会用到的东西。

让人们考虑另一个PIN选择过程有助于增加熵。当然，随机是最好的，但是将过程转换成文字可以扩大选择选项的范围。

数字集是相同的(8个字符0-9)，所以普通的蛮力是一样的，但是已知的模式使得处理速度快得多。

因此，考虑到随机PIN选择在实践中很可能不会发生，并且认识到人们需要对更好的PIN选择过程的推动，促使人们倾向于文字通常是一件好事。比有意义的约会或重复使用的PIN要好得多。